一种终端容器安全的控制方法与系统技术领域
本发明涉及终端信息安全领域,特别是涉及一种终端容器安全的控制方
法与系统。
背景技术
自从手机智能化和网络化介入之后,所带来功能和使用效率的提升,既
为手机用户提供了非常大的帮助,同时也将一些安全隐患带到人们面前。
现有的手机安全方案较少,一些公司推出双系统方案,在独立的安全系
统中实现手机的安全策略,保障用户的信息的安全,为安全系统预留单独的
数据分区,同标准系统独立开来。该方法能够有效保障用户数据的独立性,
保障用户数据的隐私,但是双系统同时运行不仅制造成本高,且需要为安全
系统预分配内存,加大电量消耗,运行成本也较高,不能简单高效地保障手
机用户数据安全。
发明内容
有鉴于此,本发明的主要目的在于提供一种终端容器安全的控制方法与
系统,可以为手机应用提供安全容器,保障容器内应用的运行安全。
为实现上述目的,本发明提供了一种终端容器安全的控制方法,包括:
响应对目标应用的点击指令,判断所述目标应用是否为进入安全容器的
入口应用,如果是,则进入所述安全容器;
响应VPDN创建指令,断开互联网,创建VPDN并连接;
确定VPDN连接成功后,响应SIM卡信息核实指令将终端的SIM卡信息
通过VPDN通道传递给预设安全认证服务端,验证所述终端的SIM卡是否在
所述预设安全认证服务端有注册记录;
当收到预设安全认证服务器的验证通过消息后,进入所述目标应用,同
时调用预设的安全容器策略。
优选地,所述安全容器策略包括:
隐藏APN的配置信息,禁用数据连接途径,屏蔽USB功能以及禁用终
端的预设禁用设备功能。
优选地,判断所述目标应用是否为进入安全容器的入口应用包括:
判断对目标应用的点击所发送的广播中的包名参数是否为安全容器预设
的应用包名。
优选地,响应SIM卡信息核实指令将终端的SIM卡信息通过VPDN通道
传递给预设安全认证服务端前还包括:
响应对终端SIM卡信息对应的二维码的扫描指令,获取终端的SIM信息。
优选地,所述预设禁用设备功能包括照相机功能、粘贴板功能、SD卡功
能、截屏功能、录屏功能和GPS功能。
优选地,所述安全容器策略还包括:
推送目标应用内预置应用的下载。
优选地,隐藏APN的配置信息包括:
对APN的配置信息进行预设的隐藏字段赋值。
本发明还提供了一种终端容器安全的控制系统,包括:
容器内外判别模块,用于响应对目标应用的点击指令,判断所述目标应
用是否为进入安全容器的入口应用,如果是,则进入所述安全容器;
安全认证模块,用于响应VPDN创建指令,断开互联网,创建VPDN并
连接;确定VPDN连接成功后,响应SIM卡信息核实指令将终端的SIM卡信
息通过VPDN通道传递给预设安全认证服务端,验证所述终端的SIM卡是否
在所述预设安全认证服务端有注册记录;
容器内策略调用模块,用于当收到预设安全认证服务器的验证通过消息
后,进入所述目标应用,同时调用预设的安全容器策略。
优选地,所述安全容器策略包括:
隐藏APN的配置信息,禁用数据连接途径,屏蔽USB功能以及禁用终
端的预设禁用设备功能。
优选地,所述预设禁用设备功能包括照相机功能、粘贴板功能、SD卡功
能、截屏功能、录屏功能和GPS功能。
应用本发明提供的一种终端容器安全的控制方法与系统,判断目标应用
是否为进入安全容器的入口应用,如果是,则进入安全容器;断开互联网,
创建VPDN并连接;确定VPDN连接成功后,将终端的SIM卡信息通过VPDN
通道传递给预设安全认证服务端,验证所述终端的SIM卡是否在所述预设安
全认证服务端有注册记录;当验证通过后,进入所述目标应用,同时调用预
设的安全策略,可以为需要保护客户隐私的应用提供安全容器,所有的应用
程序可在同一系统中运行,不必分配额外的内存和空间,可以简单高效低保
护终端用户的数据安全。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实
施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面
描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不
付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明一种终端容器安全的控制方法实施例一的流程图;
图2为本发明一种终端容器安全的控制方法实施例一的详细原理示意图;
图3为本发明一种终端容器安全的控制方法实施例一的又一详细原理示
意图;
图4为本发明一种终端容器安全的控制方法实施例一的又一详细原理示
意图;
图5为本发明一种终端容器安全的控制系统实施例二的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行
清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而
不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做
出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一:
本发明提供了一种终端容器安全的控制方法,图1示出了本发明终端容
器安全的控制方法实施例的流程图,包括:
步骤S101:响应对目标应用的点击指令,判断所述目标应用是否为进入
安全容器的入口应用,如果是,则进入所述安全容器;
容器专指一组应用的的运行环境,这组应用可以从MDM移动管理平台
分发给设备,默认情况下,MDM客户端属于容器内应用。MDM移动管理平
台可以下发容器策略,即当这组应用运行时(顶层活动为该应用),MDM客
户端应用该策略(比如切换APN等行为)。当顶层活动发生变化时,都发送
一个广播,广播的ACTION为“com.pekall.action.TOP_PACKAGE”,并且带参
数Intent.putExtra(“toppackage”,当前包名),即容器变化触发者是顶层活动发
生改变并且参数中“包名”为手机设定的“应用包名”的广播,判断所述目
标应用是否为进入安全容器的入口应用即通过:判断对目标应用的点击所发
送的广播中的包名参数是否为安全容器预设的应用包名来实现,原理图如图2
所示。
步骤S102:响应VPDN创建指令,断开互联网,创建VPDN并连接;
终端会预置一个创建并连接vpdn的应用,vpdn配置信息由客户提供,创
建前自动断开互联网,如果vpdn创建成功,给出用户提示,否则提示失败,
退出应用,连接互联网。
步骤S103:确定VPDN连接成功后,响应SIM卡信息核实指令将终端的
SIM卡信息通过VPDN通道传递给预设安全认证服务端,验证所述终端的SIM
卡是否在所述预设安全认证服务端有注册记录;
SIM卡信息可通过对终端SIM卡信息对应的二维码的扫描获取,在vpdn
连接成功后,提示用户扫描SIM商提供的二维码,并且把扫描信息通过VPDN
通道传递给预设安全认证服务端进行SIM卡信息核实比对,验证所述终端的
SIM卡是否在所述预设安全认证服务端有注册记录,验证通过则返回成功消
息,并且推送预置的应用和策略;否则提示卡身份信息不匹配,退出应用,
连接互联网,流程如图3所示。
步骤S104:当收到预设安全认证服务器的验证通过消息后,进入所述目
标应用,同时调用预设的安全容器策略;
所述安全容器策略可包括:
隐藏APN的配置信息,禁用数据连接途径,屏蔽USB功能以及禁用终
端的预设禁用设备功能。
当收到预设的安全认证服务器的验证通过消息后,代表完全进入安全容
器,进入最初点击的目标应用,并同时调用安全容器预设的策略:
(1)APN安全控制
为了保护用户的vpdn信息,需要对APN的配置信息进行隐藏处理。点
击应用进入容器内部时,VPDN已经配置好并且连接上,为了方便控制APN
的显示或者隐藏,在TelephonyProvider类中为所有APN添加一个”Hidden”字
段,并且赋值为0,代表默认显示。在VPDN在配置时,为该APN的”Hidden”
字段赋值为1,表示隐藏。当用户点击设置页面去查看APN列表时,Setting
类会去加载apn数据库,此时,进行”Hidden”字段判定,如果值为1就不予显
示,达到对VPDN配置信息的保护目的。
(2)数据连接安全控制
为了防止用户隐私新被木马获取,就需要截断所有木马流入的数据连接
途径,包括wifi,Bluetooth,mms,sms。
控制的步骤分为系统属性设定和功能控制,当进入容器内部时,容器内
部的MDM应用会立即调用设置数据连接的系统属性值的接口函数。他们的
接口函数分别为:booleanallowOutgoingWifi(booleanallow),boolean
allowOutgoingBluetooth(booleanallow),booleanallowOutgoingMms(boolean
allow),booleanallowOutgoingSms(booleanallow);当数据功能被启动时,通
过读取系统属性值来判断是否进行数据连接流程,比如wifi的属性
“persist.yulong.mdm.wifi”=1,说明在容器内,不允许进行数据连接,立即返
回,从而实现对数据连接的安全控制。
(3)应用安装安全控制
容器内部采用服务器推送安装应用的方式进行应用安装,通过屏蔽USB
功能和应用来源判断阻止用户或者黑客在容器内部进行应用安装,USB屏蔽
方法和数据连接控制一样,通过系统属性值的设定和读取实现。
(4)手机设备安全控制
手机设备的安全控制主要包括照相机、粘贴版、SD卡、截屏、录屏、GPS
等设备的屏蔽,从硬件上阻断木马黑客的流入,从而到达保障用户信息安全
性目的。
为了便于方案的普及和扩展,把以上四个模块封装成相应的策略,分别
是应用策略:ApplicationPolicygetApplicationPolicy();数据连接策略:
PhoneRestrictionPolicygetPhoneRestrictionPolicy();设备控制策略:
RestrictionPolicygetRestrictionPolicy();APN控制策略getAnpPolicy()。策略
内部的方案实现可以根据用户具体实现,具有简单易扩展的特点,适用于大
部分政企用户,安全容器策略设计如图4所示。
应用本实施例提供的一种终端容器安全的控制方法,判断目标应用是否
为进入安全容器的入口应用,如果是,则进入安全容器;断开互联网,创建
VPDN并连接;确定VPDN连接成功后,将终端的SIM卡信息通过VPDN通
道传递给预设安全认证服务端,验证所述终端的SIM卡是否在所述预设安全
认证服务端有注册记录;当验证通过后,进入所述目标应用,同时调用预设
的安全策略,隐藏APN的配置信息,禁用数据连接途径,屏蔽USB功能以
及禁用终端的预设禁用设备功能。可以为需要保护客户隐私的应用提供安全
容器,所有的应用程序可在同一系统中运行,不必分配额外的内存和空间,
可以简单高效低保护终端用户的数据安全。
实施例二:
本发明还提供了一种终端容器安全的控制系统,图5示出了本发明终端
容器安全的控制系统实施例结构示意图,包括:
容器内外判别模块101,用于响应对目标应用的点击指令,判断所述目标
应用是否为进入安全容器的入口应用,如果是,则进入所述安全容器;
安全认证模块102,用于响应VPDN创建指令,断开互联网,创建VPDN
并连接;确定VPDN连接成功后,响应SIM卡信息核实指令将终端的SIM卡
信息通过VPDN通道传递给预设安全认证服务端,验证所述终端的SIM卡是
否在所述预设安全认证服务端有注册记录;
容器内策略调用模块103,用于当收到预设安全认证服务器的验证通过消
息后,进入所述目标应用,同时调用预设的安全容器策略;
所述安全容器策略可包括:
隐藏APN的配置信息,禁用数据连接途径,屏蔽USB功能以及禁用终
端的预设禁用设备功能。
应用本实施例提供的一种终端容器安全的控制系统,容器内外判别模块
101判断目标应用是否为进入安全容器的入口应用,如果是,则进入安全容器;
安全认证模块102断开互联网,创建VPDN并连接;确定VPDN连接成功后,
将终端的SIM卡信息通过VPDN通道传递给预设安全认证服务端,验证所述
终端的SIM卡是否在所述预设安全认证服务端有注册记录;当验证通过后,
进入所述目标应用,同时容器内策略调用模块103调用预设的安全策略,隐
藏APN的配置信息,禁用数据连接途径,屏蔽USB功能以及禁用终端的预
设禁用设备功能。可以为需要保护客户隐私的应用提供安全容器,所有的应
用程序可在同一系统中运行,不必分配额外的内存和空间,可以简单高效低
保护终端用户的数据安全。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个
实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似
的部分互相参见即可。对于系统类实施例而言,由于其与方法实施例基本相
似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
最后,还需要说明的是,在本文中,术语“包括”、“包含”或者其
任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过
程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的
其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要
素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并
不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同
要素。
以上对本发明所提供的方法和系统进行了详细介绍,本文中应用了具体
个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮
助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依
据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,
本说明书内容不应理解为对本发明的限制。